原创力文档- 1、本文档共84页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
版本号
文件编号机密等级
发布日期生效日期
XXXX
安全漏洞管理制度
拟制日期
审核日期
批准日期
文件修订履历
变更摘要章节
创建变更人变化状态(/版本创建变更时间批准人
//
内容
)
变化状态:新建,增加,修改,删除
目录
1引言4
1.1目的4
1.2对象4
1.3范围4
2漏洞获知4
3级别定义和处理时间要求4
3.1级别定义4
高风险漏洞定义4
中风险漏洞定义4
漏洞处理原则5
4职责分工5
4.1信息安全部5
4.2IT中心5
4.3各产品开发部门5
5漏洞处理流程6
6罚则7
1引言
1.1目的
本制度规范了XXXX(以下简称:XXXX)信息系统安全漏洞的发现、评估及处理过程。保障
尽早发现安全漏洞,及时消除安全隐患。加快安全处理响应时间,加强信息资产安全。
1.2对象
本制度阅读对象为单位所有的运维人员、产品开发人员、测试和质量保障人员等。各产品开
发、运营、系统运维、质量测试等部门负责人应通读并认真执行本制度中与其职责相关的要求。
1.3范围
本制度中的信息系统描述适用于XXXX信息系统:
应用系统:所有业务相关应用系统,包括自主开发和外购产品。
操作系统:Windows、Linux和UNIX等。
数据库:Oracle、MySQL、SqlServer等。
中间件:Tomcat,Apache,Nginx等。
网络设备:交换机、路由器等。
安全设备:安全管理、审计、防护设备等。
2漏洞获知
漏洞获知通常有如下方式:
➢来自软、硬件厂商和国际、国内知名安全组织的安全通告。
➢单位信息安全部门工作人员的渗透测试结果及安全评审意见。
➢使用安全漏洞评估工具扫描。
➢来自单位合作的安全厂商或友好的外部安全组织给出的漏洞通知。
3级别定义和处理时间要求
3.1级别定义
对于没有CVE评级的安全漏洞统一参考附录一标准进行漏洞评级。
高风险漏洞定义
1.操作系统层面:依据CVE标准。
2.网络层面:依据CVE标准。
3.数据库层面:依据CVE标准。
4.中间件(包括应用组件包):依据CVE标准。
5.单位自主开发的业务应用:详见附录一。
3.1.2中风险漏洞定义
1操作系统层面:依据CVE标准。
2网络层面:依据CVE标准。
3.数据库层面:依据CVE标准。
4.中间件(包括应用组件包):依据CVE标准。
5.单位自主开发的业务应用:
文档评论(0)